系统管理
a)应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计;
(1)描述堡垒机的资产是否覆盖了所有设备(包含:服务器、网络安全设备)
👉堡垒机的资产覆盖了所有网络设备、安全设备、服务器
(2)描述是否针对所有系统管理员单独分配了管理员账户。并针对系统管理员分配了对应权限的资产和权限
👉针对所有系统管理员单独分配了管理员账户,并针对系统管理员分配了对应权限的资产和权限,可对系统管理行为进行审计记录;
(3)所有设备系统管理员是否均只能通过堡垒机进行系统管理,是否存在绕过堡垒机操作系统管理,是否存在绕过堡垒机操作管理的情况
👉系统管理员可绕过堡垒机对所有网络设备、安全设备和服务器进行系统管理
b)应通过系统管理员对系统的资源和运行进行配置、控制和管理,包括用户身份、资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等;
(1)描述是否均通过系统管理员对系统进行配置
👉所有网络设备、安全设备和服务器替通过系统管理员对系统的资源和运行配置、控制和管理
审计管理
a)应对审计管理员进行身份鉴别,只允许其通过身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作,并对这些操作进行审计;
(1)描述日志审计设备的资产是否覆盖了所有设备(包含:服务器、网络安全设备)
👉日志审计系统的资产覆盖了所有网络设备、安全设备、服务器
(2)描述是否只允许审计管理员通过日志审计设备进行安全审计操作
👉仅允许审计管理员通过日志审计系统进行安全审计操作
(3)是否分配了单独的审计管理员,对所有安全审计日志进行审计
👉分配了单独的审计管理员,对所有安全审计日志的操作行为进行审计记录
b)应通过审计管理员对审计记录进行分析,并根据分析结果进行处理,包括根据安全审计策略对审计记录进行存储、管理和查询等。
(1)描述是否均通过审计管理员对审计记录进行分析和处理
👉所有设备均通过审计管理员对审计记录进行分析和处理
(2)描述审计设备是否带有集中收集和集中分析功能
👉日志审计系统对日志审计记录进行查询、分析和集中备份管理
安全管理
a)应对安全管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全管理操作,并对这些操作审计;
(1)描述堡垒机的资产是否覆盖了所有设备(包含:服务器、网络安全设备)
👉堡垒机的资产覆盖了所有网络设备、安全设备、服务器
(2)描述是否针对所有安全管理员单独分配了管理员账户。并针对安全管理员分配了对应权限的资产和权限
👉针对所有安全管理员单独分配了管理员账户,并针对安全管理员分配了对应权限的资产和权限,可对安全管理行为进行审计记录
(3)所有设备安全管理员是否均只能通过堡垒机进行系统管理,是否存在绕过堡垒机操作管理的情况
👉安全管理员可绕过堡垒机对所有网络设备、安全设备和服务器进行安全管理;
b)应通过安全管理员对系统中的安全策略进行配置,包括安全参数的设置,主体、客体进行统一安全标记,对主体进行授权,配置可信验证策略等。
(1)描述是否均通过系统管理员对系统进行配置
👉所有网络设备、安全设备和服务器通过安全管理员对系统的安全策略、访问控制策略等进行配置、控制和管理。
集中管控
a)应划分出特定的管理区域,对分布在网络中的安全设备或安全组件进行管控;
(1)描述是否划分单独的网络区域用于部署安全设备或安全组件
👉核心交换机划分了单独的安全运维管理网段对网络中的安全设备进行管控
b)应能够建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理;
(1)描述系统重的所有设备是否均 采用安全方式进行管理,需描述详细的安全方式,或描述是否采取单独的安全方式进行集中管理
👉所有安全设备均采用HTTPS协议进行管理;
c)应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测;
(1)描述是否采取措施对网络链路、安全设备、网络设备和服务器等进行集中检测
👉部署了xxx设备例如:超融合系统,可对服务器运行情况进行集中监测,未对网络设备、安全设备的状态进行集中监测
(2)描述检测的内容应包含:CPU、内存、链路连接情况等
👉主要监控内容包括:设备状态、CPU使用率、内存使用率、磁盘使用率等;
(3)描述是否设置阀值,超过阀值的报警方式
👉已设置阀值,超过阀值在设备上推送报警信息;
d)应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求;
(1)描述日志审计设备的资产是否覆盖了所有设备(包含:服务器、网络安全设备)
👉日志审计系统的资产覆盖了所有网络设备、安全设备和服务器
(2)描述日志是否能够存储6个月
👉日志保存时间可满足180天
(3)描述审计设备是否能实现集中收集和分析的功能
👉日志审计系统对日志审计记录进行查询、分析和集中备份管理
e)应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理;
(1)描述安全策略集中管理,是否采取集中管理的方式
👉部署了堡垒机,资产覆盖了所有网络设备、安全设备和服务器
(2)描述恶意代码是否部署企业版,能够统一特征库升级,统一恶意代码查杀
👉部署了终端安全管理系统,可对服务器统一升级特征库和统一恶意代码查杀
(3)描述是否采取统一终端管理软件,能够统一进行补丁升级
👉部署了终端安全管理系统,可对服务器进行集中补丁升级
f)应能对网络中发生的各类安全事件进行识别、报警和分析。
(1)描述网络中存在的入侵检测、态势感知、防病毒模块等产生安全事件的设备
👉部署了xxx,xxx均带有入侵防御模块、防病毒模块,xxx如态势感知系统带有安全检测特征识别库模块
(2)描述设备安全事件报警方式
👉能对安全事件进行识别、分析,在设备平台上对安全事件进行告警
(3)设备是否覆盖到网络核心区域
👉设备覆盖了网络核心所有区域